查看请求来源--防盗链

最新推荐文章于 2022-03-23 23:27:52 发布
原创 最新推荐文章于 2022-03-23 23:27:52 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#null

本文介绍了一种简单的防止跨站请求伪造(CSRF)的方法:通过检查HTTP请求头中的Referer字段来验证请求来源。如果Referer不是来自预期的域名,则认为该请求可能存在问题。

简单方法,很容易被绕过,但是万事从简单开始,记录下来。

 

原理很简单,判断一下请求头中,Referer是否是自己工程的域名,如果不是,就是有问题。

request.getHeader( " Referer " );

null ==  request.getHeader( " Referer " ) || request.getHeader( " Referer " ).indexOf( " yourdomain.com " <   0


【支付系统】java如何获取请求来源ip
qq_39078783的博客
06-09 542
对于接入支付,肯定是要获取用户发起支付请求时的来源ip,目前市面上的三方支付平台大多都需要传递请求来源,因为他们要保证下单和最终付款的ip处于同一个地点(具体规则各个平台不一致,但目的相同).当然如果你要制作自己的支付平台,那肯定是要使用者来传递ip,而不是平台自己获取ip,平台自己获取的ip只是使用者服务器的ip,这样是不准确的有可能会造成无法支付.以上就是获取用户ip来源的实现方式。
安全架构-Http请求防盗链
ctotalk
12-18 8908
Http请求防盗链 文章目录Http请求防盗链前言一、什么是防盗链?二、有何危害?三、如何防范?1.思路2.实现总结 前言 互联网上资源越来越多,有很多资源是需要付费访问,我们自己公网上的资源,需要有安全意识,不被盗用。 一、什么是防盗链? 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示;内容不在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和流量。 二、有何危害? 资源被盗用,流量
HTTP防盗链(Referer)
嗯哼的博客
03-23 7274
HTTP请求防盗链:只允许某些域名请求来源才可以访问。比如A网站有一张图片或音频等资源被B网站直接通过img等标签属性引入使用,这样就是B网站盗用了A网站的资源。那么对于A网站来说,流量怎么被消耗的都不知道。 解决思路: 判断http请求头Referer域中的请求来源的值,如果和当前访问的域名(或者被允许的一些域名)不一致的情况下,说明该图片可能被其他服务器盗用。 注意:上句话中括弧中:被允许的一些域名,这个是基于黑白名单而言的,拦截请求,判断请求头的Referer是否包含黑名单的域名,包含则拦.
获取当前请求页的URL以及来源URL
热门推荐
不甘心一辈子平庸!再向前走两步,或许就会见到成功!
04-24 1万+
Request.Url获取当前请求页的URLRequest.UrlReferrer或Request.ServerVariables["HTTP_REFERER"]可以获取来源URLDefault.aspx代码 @ Page Language="C#" AutoEventWireup="true"  CodeFile="Default.aspx.cs" Inherits="_De
[web开发] 防盗链系列一:判断referer来源
Welcome to smallfish's blog! 欢迎转载博客文章,转载请标明出处!
07-16 537
linux抓包查看请求接口源ip,linux 抓包
weixin_42560530的博客
05-11 1438
tcpdump host 172.16.29.40 and port 4600 -X -s 500tcpdump采用命令行方式,它的命令格式为:tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen ][ -T 类型 ] [ -w 文件名 ] [表达式 ]1. tcpdump的选项介绍-a...
Node.js-FileTransferServer解决防盗链图片使用问题的中转服务器
08-09
3. **验证请求**:在处理请求之前,服务器需要检查请求来源的合法性,通常通过检查HTTP头部的Referer字段。如果Referer符合预期,服务器才继续处理请求。 4. **下载并转发图片**:使用http或axios等库从源服务器...
IIS真正能用的ISAPI-Rewrite图片防盗链规则写法
09-30
IIS中实现图片防盗链通常需要对服务器的配置进行修改,使服务器能够正确识别哪些请求是合法的,哪些是盗链。在IIS中,可以使用ISAPI-Rewrite这类URL重写模块来实现防盗链功能,该模块支持强大的正则表达式,使得...
论文研究-论文网站防盗链策略与信息分级的研究 .pdf
08-16
被动防盗链策略,也称为引用验证策略,是通过服务器端脚本检查请求来源,若来源不属于授权网站,则拒绝提供服务。研究者们通过分析这两种方案的优劣,提出简单易行且可靠的防盗链方案,以期达到既方便合法用户使用...
PHP防盗链的基本思想 防盗链的设置方法
10-23
PHP防盗链主要依靠对请求来源的检查,确保只有经过认证的用户可以访问特定的资源,从而避免未授权的盗链行为。 在PHP中实现防盗链的基本思想是利用HTTP头信息中的Referer字段来判断请求来源。服务器会检查Referer...
Linux查看访客Get请求Host地址
樱桃白馒头
10-01 766
Linux查看访客Get请求Host地址 ##这里以CentOS为例 首先安装tcpdump tcpdump是一个用于截取网络分组,并输出分组内容的工具。凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 yum install tcpdump ##Get请求(访客向服务器发送Get请求后显示请求者Host以及请求头) tcpdump -s 0 -A 'tcp dst port 8000 and tcp[((tcp[12:1] & 0xf0) >>
http协议_网络协议HTTP详解
weixin_39539684的博客
11-23 1285
一、http协议的定义HTTP是超文本传输协议的缩写。是互联网上使用最为广泛的一种网络协议,适用于www服务器传输超文本到本地浏览器传输协议。它可以使浏览器的传输更加高效,使网络传输减少。他还能使计算机能快速准确的传输超文本文档。HTTP是客户端到服务端请求与应答的标准,http协议规定了超文本传输所要遵守的规则。客户端是终端用户(浏览器),服务端是网站,当服务端发起一个指定端口的HTTP请求。二...
linux日志分析查看接口请求
Nothing
04-18 1万+
好久没写博客了,最近工作太忙了,昨天有同事问我,接口的调用量大致是多少,就从网上和公司的日志格式写了个小工具,日志格式如下大致可以看到,  以数字开头,并且文本中还有http关键字,然后在配合awk命令就可以匹配到,工具如下cat http.log | grep -P '^\d' | grep 'http'| awk -F ' ' '{print $2;}' | awk -F: '{a[$1"...
HTTP Referer及防盗链
Mia的博客
06-29 4829
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人...
获取请求来源的IP地址
qq_43664324的博客
12-05 1559
博文原文 /** * 获取请求者的IP * 获取用户真实IP地址,不使用request.getRemoteAddr()的原因是有可能用户使用了代理软件方式避免真实IP地址, * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值 * @return ip */ public static String getRealIp(HttpServletRequest request) { String ip = request.getHeader(
java微信公众平台开发二(请求来源校验)
人总要坚持点什么
06-27 2973
上次我们进行tkozen 认真的时候却没有校验请求来源是否来自微信服务器,这次我们加上这个校验。 首先官方这样描述首先我们要编写个sha1加密的算法,网上很多例子 SHA1: public class SHA1 { private static final boolean hexcase = false; private static final int chrsz
防盗链-Referer
最新发布
11-03
利用Referer实现防盗链是一种常见的网络资源保护手段,下面将详细介绍其原理、方法及应用。 ### 原理 HTTP标准协议中有专门的字段记录Referer,它可以追溯到请求是从哪个网站链接过来的,对于资源文件,还能跟踪到包含显示它的网页地址。基于此,很多防盗链方法都是利用这个Referer字段。例如,当用户在网页1点击一个链接到网页2,浏览器请求网页2时,网页1的URL就会包含在Referer头信息中。通过检查这个Referer信息,服务器就能判断请求来源是否合法 [^1]。 ### 方法 要实现Referer防盗链,通常需要在资源显示之前进行来源验证。以图片资源为例,当有请求访问图片时,服务器会检查请求头中的Referer字段。如果Referer字段的值表明请求来自合法的网站(如本网站内的网页),则正常显示图片;如果来自不合法的网站(如其他网站对本网站图片资源的引用),则显示一个错误图片。这通常借助Filter来实现,Filter的工作区域是在客户端请求request抵达Servlet之前和服务器响应response从Servlet抵达客户端浏览器之前,起到了一个过滤网的作用 [^2]。 ### 应用 Referer防盗链在实际应用中非常广泛。例如,在论坛中,经常会看到别人贴的图显示出来是一个错误图片,这可能是因为该论坛使用了Referer防盗链机制,禁止其他网站引用本论坛的图片资源。百度图片也不允许外链,也是利用了这种防盗链技术,只有从百度内部页面发起的图片请求才能正常获取图片,其他网站的引用则会被阻止 [^2]。 以下是一个简单的Java代码示例,展示如何在Servlet中检查Referer实现简单的防盗链: ```java import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class AntiLeakServlet extends HttpServlet { protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String referer = request.getHeader("Referer"); if (referer != null && referer.startsWith("http://合法域名")) { // 合法请求,处理资源 // 这里可以是返回图片、文件等操作 } else { // 非法请求,返回错误信息或错误图片 response.sendError(HttpServletResponse.SC_FORBIDDEN); } } } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值